Krypto bezpečnostní firma CertiK tvrdí, že za několik transakcí Tornado Cash spojených s jejím zneužitím kryptoburzy Kraken v červnu nese vinu nepoctivý zaměstnanec.
Incident z 19. června, kdy firma stáhla z burzy přibližně 3 miliony dolarů, vyvolal v té době pobouření výzkumníků v oblasti kryptobezpečnosti, kteří se ptali, proč peněženka připojená k CertiK poslala finanční prostředky prostřednictvím schváleného protokolu DeFi.
"Tyto transakce nebyly provedeny se zlým úmyslem a nesouvisely s finančními prostředky vybranými z Krakenu," řekl mluvčí CertiK DL News a potvrdil, že jeden ze zaměstnanců firmy použil Tornado Cash.
Mluvčí uvedl, že člen týmu bez oprávnění poslal malé množství svých vlastních prostředků do Tornado Cash a okamžitě je vybral na několik nových adres, které vlastní.
Tornado Cash umožňuje uživatelům přerušit řetězec sledovatelnosti mezi blockchainovými transakcemi.
I když CertiK tvrdí, že incident byl „whitehat“ operací navrženou k testování bezpečnosti Krakenu, není jasné, proč se zdá, že podnikání postavené na zabezpečení kódu pro krypto porušilo průmyslové standardy při vyšetřování a testování zneužití.
'Hluboce se omlouvám'
Nové komentáře přicházejí poté, co společnost CertiK zveřejnila své první oficiální prohlášení k incidentu 16. srpna, v němž uvedla, že podnikla kroky k „minimalizaci rizika, že se podobná nedorozumění znovu objeví“.
Další odborníci na kybernetickou bezpečnost byli skeptičtí.
"Ten blog byl sotva omluvou," řekl člen Security Alliance Hudson Jameson o prohlášení CertiK na Telegram - aplikaci pro zasílání zpráv.
CertiK od té doby přijal omluvnější tón.
„Hluboce se omlouváme za nepříjemnosti a zmatky způsobené incidentem s Krakenem našim zákazníkům a komunitě,“ řekl mluvčí firmy DL News.
Prohlášení ze 16. srpna se nezabývalo tím, proč byla aktiva odeslána z peněženky připojené k firmě do Tornado Cash.
A CertiK nereagoval na dotaz, proč člen týmu vůbec posílal malé částky prostřednictvím Tornado Cash.
Ačkoli Tornado Cash má legitimní použití, regulační orgány jej prověřily kvůli jeho popularitě u osob, které perou špinavé peníze, zejména u severokorejského syndikátu pro počítačovou kriminalitu Lazarus Group.
V roce 2022 byla Tornado Cash sankcionována Úřadem pro kontrolu zahraničních aktiv – neboli OFAC. Podle webu OFAC mohou sankce za porušení sankcí přesáhnout několik milionů dolarů.
Vzhledem k tomu, že CertiK je společnost registrovaná v USA, je téměř jistě zavázána k takovým sankcím.
A transakce Tornado Cash nejsou jedinou nezodpovězenou otázkou z debaklu.
Další přetrvávající otázkou je, proč se CertiK rozhodl stáhnout tak velké množství peněz – téměř 3 miliony dolarů – z Krakenu poté, co objevil chybu.
"Náš tým to udělal, aby otestoval limit ochrany Kraken a kontroly rizik," řekl CertiK. "Pokud je nám známo, nebyla spuštěna žádná upozornění a nebyly spuštěny žádné limity."
Průmyslové standardy nařizují, že po potvrzení existence chyby by ji měl nálezce při nejbližší příležitosti nahlásit – ne ji nadále využívat k testování teoretických limitů.
Co se pokazilo?
CertiK, kryptobezpečnostní firma, která se chlubí poskytováním služeb více než 4 700 projektům, uvedla, že od té doby podnikla disciplinární opatření proti členům týmu zapojených do zneužití Krakena při implementaci změn zásad a školení.
To, jak uvedla firma, zahrnuje zajištění interního souladu se všemi zásadami a platnými zákony, včetně sankcí OFAC.
V loňském roce společnost CertiK propustila přibližně 15 % své pracovní síly v důsledku řady propouštění v celém odvětví.
CertiK charakterizoval rušení pracovních míst jako „strategické přizpůsobení pracovní síly v reakci na vyvíjející se dynamiku trhu“. Firma odmítla sdělit, zda škrty ovlivnily kvalitu jejích interních procesů.
Tim Craig je korespondentem DeFi v Edinburghu DL News. Oslovte tipy na tim@dlnews.com.